米Googleの脅威分析グループ(TAG:Threat Analysis Group)は6月23日(現地時間)、カザフスタンとイタリアのAndroidおよびiOSユーザーに悪意あるアプリをインストールさせ、個人情報を盗む手口について解説した。実行したのはイタリアの商業監視ベンダーRCS Labsだとしている。政府が関連しているとも指摘した。
Googleによると、スパイウェアを保有する政府関係者がISPに協力を求めてターゲットのデータ接続を遮断させたという。データ接続できなくなったターゲットに対し、SMSで正規アプリに見せかけたスパイウェアのリンクを送信し、接続を回復するためにそのアプリをインストールするよう通知した。
ISPの協力が得られない場合は、米MetaのSNS(Facebook、Instagram、WhatsApp)のアカウントが一時停止されたと警告し、回復に必要だとする偽アプリをインストールさせようとした。
iPhoneのアプリは米Appleの公式アプリストアApp Storeからしかダウンロードできない(サイドロードできない)が、Apple Developer Enterprise Programを利用できれば、非公開のアプリを証明書をインストールしたユーザーに対して直接配布できる。
この手口では、iPhoneユーザーに対してまず証明書のインストールを指示し、それに従ったユーザーのiPhoneにスパイウェアをインストールした。
スパイウェアでは6つの脆弱性を利用しており、そのうち2つはゼロデイだった。
Googleは、影響を受けたAndroidユーザーに通知した。Appleも米TechCrunchに対し、影響を受けたアカウントに通知し、証明書を取り消したと語った。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR